Em maio de 2009, escrevi sobre a segurança da Telnetd para que somente o processo RSN tenha a capacidade de usá-la (a Telnet não pode viver com ela, não pode viver sem ela). Na época eu estava pensando na rede de serviço remoto, mas recentemente me lembrei de outra razão muito importante para executar o processo Telnetd - impressoras remotas.
O site em questão não permite nenhum acesso externo (a empresa) ao sistema e estava usando SSH para todo o acesso interativo, portanto se sentiu seguro em não executar o processo telnetd. Eles tinham tudo corretamente configurado, mas quando entraram no spooler informou que a impressora estava fora de linha e eles não podiam ver nenhuma tentativa do sistema de configurar uma conexão TCP com a impressora.
O dispositivo de impressão foi configurado com a seqüência de parâmetros "-access_layer tli_al -ip A.B.C.D,P -tcp_only". O "-access_layer tli_al" diz ao sistema que para acessar o dispositivo ele precisa da camada TLI, este é basicamente o processo telnetd. O "-ip A.B.C.D,P" é o endereço IP da impressora e o número da porta a ser conectada. Foi o "-tcp_only" que levou a SysAdmin a acreditar que o telnetd não seria usado, uma vez que era "somente tcp". Na verdade, o fio apenas diz ao telnetd para não enviar nenhuma opção de telnet após a conexão ser estabelecida.
Então, se você tem que rodar o telnetd para fazer conexões com impressoras remotas, como você pode ter certeza de que ele também não aceita conexões? A maneira mais simples é ter um arquivo telnetd vazio, você precisa que o arquivo exista para o telnetd começar, mas não precisa especificar que o telnetd irá escutar em qualquer porta.
Empresa